如何评价公司项目接口性能和拦截攻击的能力

最新推荐文章于 2024-02-19 10:06:32 发布
原创 最新推荐文章于 2024-02-19 10:06:32 发布 · 332 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

为什么要做接口测试?我们做性能测试的目的是什么?我觉得应该从以下几点去考虑:

1、寻找软件系统可能存在的性能问题,定位性能瓶颈并解决问题。
2、判定软件系统的性能表现,预见系统负载压力承受力,在应用部署之前,评估系统性能。

一、性能测试需要关注的指标有哪些?这边其实可以大体分为两大块:系统指标、资源指标:
在这里插入图片描述
能测试监控关键指标说明:

1、资源指标

CPU使用率:指用户进程与系统进程消耗的CPU时间百分比,长时间情况下,一般可接受上限不超过85%。

内存利用率:内存利用率=(1-空闲内存/总内存大小)*100%,一般至少有10%可用内存,内存使用率可接受上限为85%。

磁盘I/O: 磁盘主要用于存取数据,因此当说到IO操作的时候,就会存在两种相对应的操作,存数据的时候对应的是写IO操作,取数据的时候对应的是是读IO操作,一般使用% Disk Time(磁盘用于读写操作所占用的时间百分比)度量磁盘读写性能。

网络带宽:一般使用计数器Bytes Total/sec来度量,Bytes Total/sec表示为发送和接收字节的速率,包括帧字符在内。判断网络连接速度是否是瓶颈,可以用该计数器的值和目前网络的带宽比较。

2、系统指标:

并发用户数:某一物理时刻同时向系统提交请求的用户数。

在线用户数:某段时间内访问系统的用户数,这些用户并不一定同时向系统提交请求。

平均响应时间:系统处理事务的响应时间的平均值。事务的响应时间是从客户端提交访问请求到客户端接收到服务器响应所消耗的时间。对于系统快速响应类页面,一般响应时间为3秒左右。

事务成功率:性能测试中,定义事务用于度量一个或者多个业务流程的性能指标,如用户登录、保存订单、提交订单操作均可定义为事务

二、如何分析监控的关键指标?

1、资源指标分析

判断CPU是否是瓶颈的方法:
一般情况下CPU满负荷工作,有时候并不能判定为CPU出现瓶颈,比如Linux 总是试图要CPU尽可能的繁忙,使得任务的吞吐量最大化,即CPU尽可能最大化使用。因此,一般判断CPU为瓶颈,主要从两方面:一是CPU空闲持续为 0,二是运行队列大于CPU核数(经验值3-4倍),即可判定存在瓶颈,对于CPU高消耗主要由什么引起的,可能是应用程序不合理造成,也可能是硬件资源 不足,需要具体问题具体分析,比如问题SQL语句引起,则需要跟踪并优化引起CPU使用过高的SQL语句。

判断内存是否是瓶颈的方法:
一般至少有10%可用内存,内存使用率可接受上限为85%。当空闲内存变小时,系统开始频繁地调动磁盘页面文件,空闲内存过小可能是内存不足或内存泄漏引起,需要根据系统实际情况监控分析。

判断磁盘I/O是否是瓶颈的方法:
磁盘I/O对于数据库服务器、文件服务器、流媒体服务器系统来说,更容易成为瓶颈,一般从以下几个方面对磁盘I/O进行分析判断:

① 计算每磁盘I/O数
每磁盘I/O数可用来与磁盘的I/O能力进行对比,如果经过计算得到的每磁盘I/O数超过了磁盘标称的I/O能力,则说明确实存在磁盘的性能瓶颈
② 监控磁盘读写,如果磁盘长时间进行大数据量读写操作,且cpu等待超过20%,则说明磁盘I/O存在问题,考虑提高磁盘I/O读写性能。

**判断网络带宽是否是瓶颈的方法:**判断网络带宽是否是系统运行性能瓶颈的首要条件是网络带宽是否会影响系统交易执行性能。例如:减小网络带宽,并发用户数、响应时间与事务通过率等性能指标是否不能接受;或者增加网络带宽,并发用户数、响应时间与事务通过率等性能指标会得到明显提高。

在实际性能测试中,如果发现始终报连接超时,而实际手工访问可以正常访问,可以通过ping应用服务器IP或网关IP,如果出现网络严重延迟或丢包,则说明网络不稳定,需要检查网络。

通过对资源指标四个指标的分析,实际上各个方面都是互相依赖的,不能孤立的单从某个方面进行排查。当一个方面出现性能问题时,往往会引发其他方面的 性能问题,例如,大量的磁盘读写势必消耗CPU和IO资源,而内存的不足会导致频繁地进行内存页写入磁盘、磁盘写到内存的操作,造成磁盘IO瓶颈,同时, 大量的网络流量也会造成CPU过载,所以,在分析性能问题时,需要从各个方面进行考虑。

2、系统指标分析

**并发用户数:**系统能够支持的用户数是系统容量的重要标志,并发用户数用于度量系统在高并发量访问下,系统的并行处理能力,一般如果系统中存在死锁、资源争用,在并发访问下,由于请求处于队列等待中,系统响应就会随着时间变慢。

一般情况下,选用高吞吐量、高数据库I/O、高商业风险的业务功能进行并发用户访问测试。

判断系统能够承受的最大并发用户数,通常以满足以下条件为准:

1、业务功能操作平均响应时间在合理范围之内

2、事务成功率在合理范围之内

3、 系统运行无故障(无异常宕机)

4、系统资源指标使用在合理范围内

**平均响应时间:**对于客户端用户来说,最直观的体验就是访问该页面快或者慢,即响应时 间的长短。比如在持续并发性能测试过程中,客户感知访问应用很慢,监控到的平均响应时间也逐渐变长,这时就需要先借助于监控到的资源指标,首先排除资源方 面的限制因素,再从应用本身进行定位,如可以采用页面细分工具(如httpwatch、Loadrunner Anaysis中的页面组件细分)分析响应比较慢的页面。

**事务成功率、超时出错率:**事务成功率越高,则表明系统处理能力越大;而失败事务主要由于系统响应慢,导致访问业务功能超时,或者系统业务功能异常,不能正常访问等,需要根据事务错误提示信息,具体分析。

我们运用性能测试工具实战操作一下,看下公司项目的防攻击及性能怎么样,具体的代码如下页面:
在这里插入图片描述
我们请求之后看看结果图:
在这里插入图片描述
从图我们可以看出,并发刚开始时16:19之前都还算正常,运行比较平稳,16:19之后请求数和相应时长突然变大,我们用接口工具请求看看:
在这里插入图片描述
原来是我们系统的拦截工具把攻击拦截了,说明我们的拦截做得不错。至于性能怎么样我们还要具体分析。待续。。。。

Spring Boot实现API接口防重放攻击:保障请求唯一性
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
07-29 669
本文介绍了API接口中的防重放攻击技术及其在Spring Boot中的实现方案。重放攻击是指攻击者截获合法请求后重复发送,可能导致重复业务操作、资源消耗等问题。防重放的核心是确保请求的唯一性时效性,常见方案包括Nonce机制、时间戳校验、序号机制等。文章推荐采用Nonce+时间戳+签名的组合方案,并详细阐述了在Spring Boot中的实现步骤,包括配置参数类、实现防重放过滤器等关键环节。该方案在安全性实现复杂度之间取得平衡,适用于各类Web应用场景。
性能测试结果如何监控
09-05
针对软件测试中的性能测试结果如何分析进行的总结,如果不不知道如何监控性能测试结果,这本书会告诉你如何去监控
性能测试监控指标及分析调优
NeilNiu
08-19 1607
1、CPU,如果存在大量的计算,他们会长时间不间断的占用CPU资源,导致其他资源无法争夺到CPU而响应缓慢,从而带来系统性能问题,例如频繁的FullGC,以及多线程造成的上下文频繁的切换,都会导致CPU繁忙,一般情况下CPU使用率
磁盘性能指标--IOPS理论
02-07
磁盘性能指标--IOPS理论概述
转:性能测试过程中的网络带宽及流量监视讨论
cc1988429的专栏
07-27 2160
1.  概述在性能测试过程中,随着B/S结构网络应用的越来流行,界面元素的不断丰富、系统并发用户量的不断增加,在性能测试过程中,对网络带宽的消耗越来越大。在测试中,如何以前得测试环境下的实际网络带宽情况;如何保证测试过程中不因为网络带宽造成系统的瓶颈从而影响性能测试结果的准确性,如何确认现有的网络传输设备在大负载下能够稳定的进行网络数据的传输交换……在现在,已经成了性能测试中必须要考虑的一个
磁盘性能指标
weixin_33857230的博客
04-09 4779
磁盘性能指标五个常见指标: 使用率、饱度、IOPS、吞吐量以及响应时间。这五个指标,是衡量磁盘性能的基本指标。• 使用率,是指磁盘处理 I/O 的时间百分比。过高的使用率(比如超过 80%),通常意味着磁盘 I/O 存在性能瓶颈。• 饱度,是指磁盘处理 I/O 的繁忙程度。过高的饱度,意味着磁盘存在严重的性能瓶颈。当饱度为 100% 时,磁盘无法接受新的 I/O 请求。• IOPS(Inp...
Springboot3巧妙运用拦截器阻断xss攻击
01-13
三是对拦截器的性能进行监控优化,避免因过滤操作影响系统整体性能。 最后,虽然使用拦截器可以有效防御XSS攻击,但也只是网络安全防护体系中的一部分。开发者还需结合其他安全措施,如内容安全策略(CSP)、输入...
java实现攻击拦截,独立服务, 处理SYN Flood攻击检测等
09-09
一个良好的攻击检测系统不仅需要能够准确识别拦截攻击,还应确保自身不会成为性能瓶颈,同时提供详尽的日志以便于问题追踪系统维护。 通过Java语言实现的攻击拦截系统能够有效地检测并防御多种网络攻击,从而...
SpringBoot拦截器实现登录拦截的方法示例
08-25
最后,一个完整的SpringBoot拦截器实现还需要考虑安全性问题,比如防止CSRF攻击XSS攻击等。可以考虑在拦截器中加入对CSRF令牌的验证,确保表单提交的安全。对于XSS攻击,则需要在Web配置中设置合适的...
API函数拦截例子 skykernel.rar_API拦截_api 拦截_拦截 API_拦截sky
09-23
在安全领域,它可以检测阻止恶意软件利用API进行攻击;在游戏修改(如作弊)中,拦截游戏API可以改变游戏行为;在性能优化上,可以测量API调用的时间开销,找出瓶颈并优化。 总的来说,API函数拦截是一种强大的...
监控网络带宽
mnasd的博客
12-10 2432
这些工具使用不同的机制来制作流量报告。nload等一些工具可以读取"proc/net/dev"文件,以获得流量统计信息;而一些工具使用pcap库来捕获所有数据包,然后计算总数据量,从而估计流量负载。 下面是按功能划分的命令名称。 监控总体带宽使用――nload、bmon、slurm、bwm-ng、cbm、speedometernetload 监控总体带宽使用(批量式输出)――v...
超细整理,性能测试-性能指标监控命令详细实战,一篇速通
大佬云集技术答疑交流群:743262921(进群暗号:222)
07-16 704
性能监控命令:MEMORY首先说说虚拟内存物理内存:虚拟内存就是采用硬盘来对物理内存进行扩展,将暂时不用的内存页写到硬盘上而腾出更多的物理内存让有需要的进程来用。当这些内存页需要用的时候在从硬盘读回内存。这一切对于用户来说是透明的。通常在Linux系统说,虚拟内存就是swap分区。在X86系统上虚拟内存被分为大小为4K的页。每一个进程启动时都会向系统申请虚拟内存(VSZ),内核同意或者拒就请求。当程序真正用到内存时,系统就它映射到物理内存。RSS表示程序所占的物理内存的大小。
接口性能测试
美味的世界
04-02 423
import requests import time import datetime numbers = 6000 nums = 0 for i in range(5): numbers = numbers + 1000 print(numbers) for i in range(5): times = datetime.datetime.now() +...
Jmeter 性能-内存/磁盘/网络监控
12-07 353
①free使用方法②数据解读2、监控磁盘①iostat安装通过yum install -y sysstat安装iostat工具②iostat命令使用方法③数据解读3、df查看磁盘空间①df用法df -h②数据解读重点监控/dev/mapper/centos-root目录,即mounted on 下的/根目录4、综合监控工具①vmstat命令使用主要用于监控内存swap情况vmstat 1表示每1秒监控一次②数据解读5、sar网络监控工具①sar命令使用②数据解读。
性能测试】系统常用监控--网络
test_dog的博客
02-01 1372
主要介绍性能测试过程中,或在测试前进行环境检查,网络部分常用监控。通过查看发现收发包的吞吐率达到网卡最大上限,网络数据报文有因为这类原因而引发的丢包、阻塞等现象都证明当前网络可能存在瓶颈。在进行性能测试时为了减小网络的影响,一般都在局域网中进行测试。
网络摄像机带宽测试软件,网络网络摄像机分辨率带宽计算方法
weixin_34541572的博客
07-22 1641
《网络网络摄像机分辨率带宽计算方法》由会员分享,可在线阅读,更多相关《网络网络摄像机分辨率带宽计算方法(2页珍藏版)》请在人人文库网上搜索。1、网络摄像机分辨率带宽计算当今时代,远程监控需求的提升,带来 网络摄像机 市场的迅猛发展,而 网络摄像机 传统摄像机 运 行环境的重要区别,就是信号传输介质不同, 传统摄像机 通过视频线、光纤传输,基本没有带宽约束,而 网络摄像机则是通过网络传输,普...
磁盘性能指标分析
lishenglong666的专栏
08-24 821
https://blog.youkuaiyun.com/luyegang1/article/details/74453879
磁盘性能评价指标—IOPS吞吐量
Jian Sun_的博客
02-19 2072
I/O 的概念,从字义来理解就是输入输出。从上层到底层,各个层次之间均存在 I/O。比如,CPU 有 I/O,内存有 I/O, VMM 有 I/O, 底层磁盘上也有 I/O,这是广义上的 I/O。通常来讲,一个上层的 I/O 可能会产生针对磁盘的多个 I/O,也就是说,上层的 I/O 是稀疏的,下层的 I/O 是密集的。磁盘的 I/O,顾名思义就是磁盘的输入输出。输入指的是对磁盘写入数据,输出指的是从磁盘读出数据。我们常见的磁盘类型有 ATA、SATA、FC、SCSI、SAS,如图1所示。
学成在线项目中过滤器拦截器用到什么地方了
最新发布
11-13
<think> 嗯,用户这次聚焦在"学成在线"这个具体项目的过滤器拦截应用场景上,看来是希望结合实践案例理解理论。之前讨论的底层实现差异(函数回调 vs 动态代理)需要转化为实际开发中的设计决策依据。 从用户引用的资料看,ta已经掌握基础概念:过滤器侧重请求准入(门卫),拦截器侧重过程干预(管家)。但"学成在线"作为教育平台,其业务特性会深刻影响技术选型——比如高并发选课场景需要过滤器快速拦截非法请求,而权限校验更适合用拦截器接入Spring安全体系。 具体到项目模块: - 过滤器处理全局性、低耦合需求:全站字符编码统一用CharacterEncodingFilter(避免每个controller处理乱码),XSS攻击防护用自定义过滤器清洗参数。这些操作不需要Spring上下文支持,且必须在请求到达业务逻辑前完成。 - 拦截器处理业务关联操作:用登录验证拦截器实现"未登录跳转登录页"而非单纯拒绝(需依赖UserService);审计日志拦截器记录操作时间+用户ID(需获取Spring管理的审计组件实例)。这些都需要访问IOC容器的资源。 用户可能隐含的疑问是:为什么权限校验同时用了过滤器拦截器?这其实体现了分层设计思想——过滤器做粗粒度IP黑名单(性能敏感),拦截器做细粒度RBAC权限控制(业务敏感)。例如付费课程访问校验:过滤器先阻挡明显爬虫请求(节省服务器资源),拦截器再判断用户是否购买该课程(需查询数据库)。 值得补充的是异常处理差异:过滤器抛出异常会跳转到error-page(全局),而拦截器可用@ControllerAdvice捕获并返回JSON错误(适配前后端分离架构)。这在学成在线的API模块特别重要——课程查询接口需要返回{"code":403}而非白页。 最后注意项目中的执行顺序:网关层过滤器 → Web容器过滤器 → Spring拦截器。这个链条在学成在线网关统一添加JWT令牌时尤为关键,若顺序错乱会导致拦截器获取不到用户信息。 </think>在学成在线项目中,过滤器拦截器的应用场景根据其技术特性进行划分,主要差异体现在**处理层级****功能边界**上。以下是具体应用分析: --- ### **一、过滤器(Filter)的应用场景** 基于Servlet规范,作用于Web容器层(如Tomcat),执行顺序最早。 1. **全局字符编码** - **场景**:统一处理HTTP请求/响应的字符集(如UTF-8) - **实现**:通过`CharacterEncodingFilter`配置,避免中文乱码 - **优势**:在请求进入业务逻辑前完成编码转换 [^1] 2. **XSS攻击防护** - **场景**:过滤用户输入的恶意脚本(如`<script>`) - **实现**:自定义过滤器对请求参数进行HTML标签转义 - **代码片段**: ```java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) { HttpServletRequest wrappedRequest = new XssRequestWrapper((HttpServletRequest) request); chain.doFilter(wrappedRequest, response); // 传递包装后的请求 } ``` 3. **敏感词过滤** - **场景**:动态屏蔽用户发布的违规内容 - **实现**:读取请求参数并敏感词库匹配,替换为`***` 4. **请求日志记录** - **场景**:记录所有请求的IP、URL、耗时等基础信息 - **限制**:无法获取Spring管理的Bean(如业务Service)[^2] --- ### **二、拦截器(Interceptor)的应用场景** 基于Spring框架,作用于Controller层,可接入Spring上下文。 1. **登录状态校验** - **场景**:验证用户Token有效性,拦截未登录请求 - **实现**:从请求头获取Token,调用`UserService`查询Redis缓存 - **优势**:可直接注入Spring Bean(如`UserService`)[^2] 2. **接口权限控制** - **场景**:校验用户角色(如学生/教师)能否访问当前API - **实现**:通过`@PreAuthorize`注解或自定义拦截器鉴权 - **示例**:教师端管理接口仅允许`ROLE_TEACHER`访问 3. **接口耗时监控** - **场景**:记录Controller方法的执行时间 - **代码片段**: ```java public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { request.setAttribute("startTime", System.currentTimeMillis()); return true; } public void afterCompletion(...) { long cost = System.currentTimeMillis() - (Long)request.getAttribute("startTime"); log.info("接口 {} 耗时: {}ms", request.getRequestURI(), cost); } ``` 4. **数据脱敏处理** - **场景**:在返回响应前对敏感字段(如手机号、身份证)脱敏 - **实现**:在`postHandle`中修改响应体的数据格式 --- ### **三、核心差异总结** | **能力** | 过滤器(Filter) | 拦截器(Interceptor) | |------------------------|--------------------------|----------------------------| | **作用层级** | Web容器层 | Spring MVC层 | | **Spring依赖注入** | ❌ 不可用 | ✅ 可用 | | **请求干预点** | 仅`request/response` | 可访问Handler方法、参数等 | | **性能影响** | 更轻量(接近底层) | 略重(依赖Spring上下文) | --- ### **四、学成在线中的典型执行流程** ```mermaid graph LR A[HTTP请求] --> B[字符编码过滤器] B --> C[XSS防护过滤器] C --> D[登录拦截器] D --> E[权限校验拦截器] E --> F[Controller方法] F --> G[数据脱敏拦截器] G --> H[响应日志过滤器] ``` > **设计建议**: > - 安全防护(XSS、IP黑名单)用**过滤器**(更早拦截) > - 业务校验(登录、权限)用**拦截器**(依赖Spring Bean)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值